网络安全评估系统的分析与研究
网络安全评估系统的分析与研究
王宁
[1]
中国航天二院
706
所
目前信息系统安全性评估技术受到广泛重视,但是国内不仅缺乏信息系统安全性评估理论的研究,也没有安全性评估自动化系统。本文对国外先进的安全性评估系统进行研究分析,主要包括
Asset-1
、
CC
评估工具、
Cobra
评估工具、
RiskPAC
评估工具、
RiskWatch
评估工具、
XACTA
工具,着重介绍了这些工具的功能和评估具体实现过程。
关键字
安全评估、风险评估、定量评估、定性评估。
1概述
信息系统安全性评估正日益得到重视,
2003
年
9
月中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》,文件要求采取必要措施进行信息安全风险的防范,国家信息中心成立了信息安全风险评估课题组进行相关研究和标准制定工作,中国信息协会信息安全专业委员会
2004
年年会议题也是“信息安全风险评估”。
目前国内各大安全厂商纷纷推出信息安全风险评估服务,都是由安全工程师凭借经验、借助已有漏洞扫描工具、结合人工调查得出评估结论,但相关风险评估基础理论还比较薄弱,更缺乏成熟的安全性评估自动化工具。但是国外在信息系统安全性评估方面的研究开始比较早,目前已经有了成熟的评估工具。
要开发自主的安全性评估系统,必须首先明确评估系统功能。因此我们从分析国外先进评估系统入手,在研究分析国外先进技术的基础上,结合实际工作经验、以及相关理论研究基础,再进行自主评估系统的设计和开发。
实际工作中我们广泛调研了国外成熟的信息系统安全性分析评估软件系统,共有十余种,经过筛选,我们挑选具有典型代表性、成熟的六个产品进行研究分析,分别是
Asset-1
、
CC
评估工具、
Cobra
评估工具、
RiskPAC
评估工具、
RiskWatch
评估工具、
XACTA
工具。本文着重介绍了这些工具的功能和评估具体实现过程。
2 Asset-1评估工具分析
2.1工具介绍
Asset-1
评估工具是以
NIST[2] SP800-26
(信息系统安全性自我评估向导)为标准制定的用于安全性自我评估的自动化工具。
工具的主要功能是进行信息系统安全性的自评估,采用形式是通过用户手动操作进行自评估,达到收集系统安全性相关信息的目的,工具最终生成安全性自评估报告。最终生成的报告只能达到与用户提供的信息同级的准确性,工具并不能引导分析或验证自评估提供信息的关联性、准确性(即工具不具有分析功能)。
2.2功能分析
根据
NIST
安全性自我评估向导,将安全级别分为五级:一般、策略、实施、测试、检验。此工具的每个调查问题都相当于一个命题,陈述为了确保系统的安全性应该做到的相关事项,用户对于问题的回答就是选择系统对于此项命题的安全程度为上述五级中的哪些级别。最后通过统计在某一级别上问题命题和级别选定,来统计系统的安全措施达到的安全级别。
3 CC评估工具分析
CC
评估工具有
NIAP[3]
发布,共由两部分组成:
CC PKB
(
CC
知识库)和
CC ToolBox
(
CC
评估工具集)。
CC PKB
是进行
CC
评估的支持数据库,基于
Access
构建。使用
Access VBA
开发了所有库表的管理程序,在管理主窗体中可以完成所有表的记录修改、增加、删除,管理主窗体以基本表为主,并体现了所有库表之间的主要连接关系,通过连接关系可以对其他非基本表的记录进行增删改。
CC ToolBox
是进行
CC
评估的主要工具,主要采用页面调查形式,用户通过依次填充每个页面的调查项来完成评估,最后生成关于评估所进行的详细调查结果和最终评估报告。
CC
评估系统依据
CC
标准进行评估,评估被测信息系统达到
CC
标准的程度,评估主要包括
PP
评估、
TOE
评估等。
4 COBRA风险管理工具分析
4.1工具介绍
COBRA
:Consultive Objective Bi-Functional Risk Analysis
。
安全风险分析管理和评估是保证
IT
安全的一个重要方法,它是组织安全的重要基础。
1991
年,
C&A Systems Security Ltd
推出了自动化风险管理工具
COBRA 1
版本,用于风险管理评估。随着
COBRA
的发展,目前的产品不仅仅具有风险管理功能,还可以用于评估是否符合
BS7799
标准、是否符合组织自身制定的安全策略。
COBRA
系列工具包括风险咨询工具、
ISO17799/BS7799
咨询工具、策略一致性分析工具、数据安全性咨询工具。
COBRA
采用调查表的形式,在
PC
机上使用,基于知识库,类似专家系统的模式。它评估威胁、脆弱性的相关重要性,并生成合适的改进建议。最后针对每类风险形成文字评估报告、风险等级(得分),所指出的风险自动与给系统造成的影响相联系。
COBRA 3
具有以下特点:
l
丰富的图表统计功能、报表直接输出为
MS-Word
形式、支持视窗操作系统;
l
知识库进行了升级,
COBRA 3
可以标明系统面临的威胁、存在的脆弱性、缺陷;
l
同时衡量系统各方面的风险等级、并指明风险等级对系统作业带来的直接影响;
l
为降低风险推荐防护措施和建议;生成详尽的报告。
同时,
COBRA 3
提供系统与
ISO17799/BS7799
的符合程度的衡量功能,由于
ISO17799/BS7799
本身要求系统进行风险分析和管理,因此
COBRA 3
实际上提供了对于
ISO17799/BS7799
的满足程度的衡量和风险管理两类功能。
4.2定性分析方法
COBRA
风险管理产品使用风险定性分析方法,如下图所示。
4.3 COBRA风险评估过程
风险评估过程比较灵活,一般都包括问题表构建、风险评估(回答问题表)、产生报告(根据问题的回答进行风险分析评估)。每部分分别由问题表构建、风险评估、报告生成三个子系统完成。
1
、问题表构建
:
通过知识库模块构建问题表,采用手动或自动方式从各个模块中选择所需的问题,构建针对具体组织进行评估的问题表。同时系统提供了动态问题表构建的功能,即用户可以在回答问题表的同时增删问题表模块。
2
、风险评估
:
通过完成问题表实现整个风险评估过程。问题表的不同模块由系统不同人完成,各个模块可以不同时完成,但是评估结果是在全部问题表答案的基础上形成的。问题的答案有多种形式:单选(必选和不必选)、多选(必选和不必选)、文本答案、数字形式答案等。问题还分为多个级别,所有问题的答案都将形成统一的格式,用于评估。对于已构建完的问题表中,用户评估时不想完成的问题,
COBRA
提供记事本将跳过的问题表记录,最后生成报告时进行说明,同时在评估同时可以动态加入问题表。
3
、报告生成
:
通过问题表的回答生成报告,报告包括建议采取的安全措施、解决方案建议、对于系统相关的每类风险进行分析排序、对于风险给系统带来的影响分析、风险与系统潜在影响的联系分析。
5 RiskPAC评估工具分析
5.1概述
RiskPAC
是
CSCI
公司开发的,对组织进行风险评估、业务影响分析的工具,它完成定量(并非统计)和定性风险评估。
RiskPAC
组织业务影响分析和风险评估过程:
1
、确定风险评估范围、确定对分析评估结果进行反应的人员;
2
、选择调查问题表:可以选择
RiskPAC
已有的调查表(其中包括系统定义好的调查表、也包括用户曾经使用过的调查表),也可以定制符合组织特定需求的调查表;
3
、进行调查评估分析,确定组织存在的问题和风险,输出最终结果,确定降低风险的手段,进行修复改进;
5.2 RiskPAC分析
RiskPAC
将风险分为几个级别,即低级、中级、高级等,针对每个级别都有不同的风险描述,根据不同风险级别问题的构造和回答,完成风险评估。
RiskPAC
包括两个独立的工具:
RiskPAC Questionatire Designe
问题设计器和
RiskPAC Survey Manager
调查管理器。其中问题表设计器进行业务分析和风险评估的调查表设计,调查管理器就是将已选定的调查表以易用的形式提供给用户,供用户选择相应答案,根据答案做出分析评估结论。
l
问题设计器
问题设计器的主要功能是设计进行业务分析和风险评估的调查表问题。首先输入问题所需的各项,包括问题主干、答案类型、所需答案类型、问题所属类、问题所反映出的风险类、问题答案表示的权重等;然后将其加入整个问题表中。每个问题都归属于某一类问题。问题设计器还可以增删问题类,通过输入问题类所需的各项,包括问题类名、创建时间、创建者等,建立新的问题类。
l
调查管理器
调查管理器的主要功能是从调查表的回答中得出结论,最后得出的报告主要说明系统存在的威胁、风险、所暴露的脆弱性。
调查管理器的工作方式是首先按照用户选择的调查表,逐一列出问题和答案,用户根据提示进行选择答案,直到全部问题回答完毕。
RiskPAC
采用的调查表可以通过
CD
、信件、网络等进行存储、传输,它采用易于传输、升级的格式存储,便于用户使用。
6 RiskWatch工具分析
6.1概述
RiskWatch
公司在开发风险分析自动化软件系统方面具备了丰富的经验,产品主要是风险分析自动化软件系统,共包括五类产品,分别针对信息系统安全、物理安全、
HIPAA
标准、
RW17799
标准、港口和海运安全,分别分析信息系统安全风险、物理安全危险、以
HIPAA
为标准存在的安全风险、以
RW17799
为标准存在的安全风险、港口和海运存在的安全风险。
RiskWatch
工具具有以下特点:
●
友好的用户界面;
●
预先定义的风险分析模板,给用户提供高效、省时的风险分析和脆弱性评估;
●
数据关联功能;
●
经过证明的风险分析模型。
使用
RiskWatch
风险分析工具,用户可以根据实际需求定制风险分析和脆弱性评估过程,而其它风险分析工具都没有提供此项功能。
RiskWatch
通过两个特性:定量和定性风险分析、预置风险分析模板,为用户提供这种定制功能。
6.2 RiskWatch风险评估技术方法
RiskWatch9.0
自动化风险评估
/
风险管理工具基于标准风险分析
/
风险管理方法论,从以下几方面阐述
RiskWatch9.0
使用的风险评估技术方法:
1
、风险分析应该达到两个目标:
●
确定目标系统
/
设备当前状态下面临的风险;
●
确定并推荐减少风险的防护控制措施,并证明这些措施是有效的。
2
、RiskWatch9.0
通过使用因素关联功能和计算风险来达到上述风险分析目标:
(
1
)创建并证明关联包
<
损失
/
资产
/
威胁
/
脆弱性
>
,整个关联包定义了条件突发事件,条件突发事件代表了系统面临的风险,通过条件突发事件衡量系统面临的风险,并衡量当采取防护措施后系统风险降低值。关联包的创建和证明是
RiskWatch
风险分析方法和技术的核心内容。
(
2
)针对系统未采取任何防护措施的情况,计算当前系统
/
设备面临的风险。
RiskWatch
选用(度损失期望
ALE
来衡量风险。
(
3
)针对系统采取防护措施的情况,计算和评估防护措施带来的收益
/
防护措施成本。
3
、RiskWatch
关于风险定义:
风险
=
资产
⊙
损失
⊙
威胁
⊙
脆弱性
⊙
防护措施
即:当组织有价值的资产受到某种形式威胁,形成系统脆弱性,并造成一定损失时,称系统出现风险。
7 XACTA IA Manager工具分析
XACTA Web C&A
遵循
NIACAP
、
DITSCAP
、
ISO17799
标准,是自动完成
C&A[4]
过程的唯一商用软件产品。软件进行网络探测、脆弱性扫描、需求定义、测试和风险评估,同时自动产生符合
NIACAP
、
DITSCAP
、
DCID
标准的过程文档。
XACTA Web C&A
基于数据库技术,进行反复、统一的
C&A
自动化过程,可以发现脆弱性、完成
C&A
、确定风险、评估配置是否符合标准。
XACTA Web C&A
的下一代产品是
XACTA Commerce Trust
,它不仅进行标准符合性评估,还识别与标准相比存在的差距、并详细描述这些差距、将这些差距排序,达到持续管理风险的目的。
XACTA Web C&A
的处理过程包括如下步骤:
●
建立需求追踪矩阵
SRTM
;
●
测试和扫描
●
风险评估和管理。
目前
XACTA
公司将
XACTA Web C&A
和
XACTA Commerce Trust
集成发布了新产品
XACTA IA Manager
。
8工具比较
从成熟度、功能上对上述
6
类工具进行比较,结果如下表:
|
工具
|
国家公司
|
成熟度
|
功能
|
标准
|
|
Asseet-1
|
美国
NIST
|
NIST
发布
|
依据美国
NIST SP 800-26
进行
IT
安全自动化自我评估
|
NIST SP 800-26
|
|
CC
|
美国
NIAP
|
NIAP
发布
|
依据
CC
进行信息安全自动化评估
|
CC
|
|
COBRA
|
美国
C&A System Security Ltd.
|
产品
|
主要依据
ISO 17799
进行风险评估
|
主要依据
ISO 17799
|
|
RiskPAC
|
美国
CSCI
公司
|
成熟产品
|
主要进行定性和定量风险评估
|
|
|
RiskWatch
|
美国
RiskWatch
公司
|
成熟产品,有一定客户群
|
综合各类相关标准进行风险评估和风险管理
|
各类信息安全相关标准
|
|
XACTA
|
美国
XACTA
公司
|
成熟产品,有一定客户群
|
主要依据
NIACAP
、
DITSCAP
进行
C&A
过程
|
主要依据
ISO 17799
、
NIACAP
、
DITSCAP
、
DCID
|
参考文献
【1】
http://www.nist.org
【2】
http://www.riskwatch.com
【3】
http://www.riskrpc.com
【4】
http://www.xacta.com
[1]
作者介绍:王宁,女,工学硕士,主要研究方向为网络安全测试评估。
[2]
NIST
:
National Institute of Standards and Technology
[3]
NIAP
:
National Information Assurance Partnership
[4]
C&A
:
Certification & Accreditation